EFail und Thunderbird - nicht auf S/MIME oder PGP verzichten!

Achtung

EFail nutzt bzw. missbraucht aktive E-Mail-Inhalte in HTML-E-Mails (beispielsweise externe Grafiken oder auch externe Formatierungs-Stylesheets), um einen beliebigen E-Mail-Inhalt über einen so erzeugten Rückkanal an den Angreifer senden zu lassen. Das Problem dabei ist im Grunde die Art und Weise der jeweiligen Integration von S/MIME und PGP in den E-Mail-Programmen, wodurch entschlüsselte Inhalte im Hintergrund mehr oder minder unbemerkt an den Angreifer gesendet werden können.


Der Angreifer muss auf irgendeinem Weg an (verschlüsselte) E-Mails von Ihnen gelangt sein. Denkbar ist das Mitschneiden der Datenübertragung im Netzwerk, Diebstahl aus kompromittierten E-Mail-Postfächern, von E-Mail-Servern, Backup-Systemen oder auch von beteiligten Computersystemen der einzelnen Anwender. Der Datendiebstahl kann auch schon vor langer Zeit geschehen sein.


Der Angreifer manipuliert nun die zuvor gestohlene, verschlüsselte E-Mail in bestimmter Art und Weise. Diese manipulierte E-Mail sendet er inklusive des verschlüsselten ursprünglichen Inhalts an das Opfer (also an Sie). Ihr E-Mail-Programm (Thunderbird oder auch andere) entschlüsselt den eigentlich geschützten Teil, lädt den manipulativen externen aktiven Inhalt und sendet im Hintergrund den gerade entschlüsselten Klartext-Inhalt an den Angreifer.


Wann könnten Sie also betroffen sein?

  • Sie benutzen S/MIME- oder PGP-Verschlüsselung
  • und der Angreifer hat Zugriff auf verschlüsselte E-Mais von Ihnen

Wie Sie sich zumindest teilweise schützen können:

  • VERZICHTEN SIE NICHT AUF VERSCHLÜSSELUNG. Es ist besser, wenn Sie weiterhin sensible Daten verschlüsselt per E-Mail versenden, um diese zu schützen.
  • Kontrollieren Sie die Einstellungen Ihres E-Mails-Programms und bitten Sie Ihre Kommunikationspartner (mit denen Sie verschlüsselt per E-Mail kommunizieren), dies ebenfalls zu machen.

    Für Thunderbird beachten Sie folgende Anweisungen (bis Thunderbird Version 52.8.0 und 52.8.1 hoffentlich die Lücken schließen):
    • Lassen Sie externe Inhalte ("remote content") deaktiviert, damit diese nicht geladen werden - dies ist der Standard in Thunderbird!
    • Benutzen Sie vor allem bei verschlüsselten E-Mails NICHT die Funktion "Externe Inhalte in dieser Nachricht anzeigen", womit man in der gerade angezeigten Nachricht die Inhalte nachladen lassen könnte
    • Klicken Sie vor allem in verschlüsselten E-Mails möglichst NICHT auf Links oder interaktive Objekte, da auch dadurch der "Rückkanal" an den Angreifer ausgelöst werden könnte

Für die Zukunft:

Bedenken Sie, dass vergleichbare Sicherheitslücken - genau wie hier - oftmals durch die Anzeige von HTML-E-Mails und durch das Nachladen externer Inhalte möglich werden. Es ist also auch in Zukunft immer empfehlenswert in Thunderbird die Anzeige der E-Mails wenigstens auf "Vereinfachtes HTML" zu begrenzen (Menü Ansicht > Nachrichteninhalt > Vereinfachtes HTML). Dadurch werden nicht alle Sicherheitsrisiken vermieden, aber zumindest einige davon.


Enigmail zeigt in der aktuellen Version bei potentiell bedrohlichen E-Mails eine Warnung an, womit aber vermutlich nicht alle Angriffsszenarien behoben sind! Bitte aktualisieren Sie Enigmail mindestens auf Version 2.0.4 oder neuer.


Diskussion:

https://www.thunderbird-mail.de/forum/thread/79666/


EFail-Informationsseite:

https://efail.de/


Quelle:

https://blog.mozilla.org/thund…05/efail-and-thunderbird/